Python官方库SSH Decorator被曝后门:可窃取SSH凭证

在代码库中隐藏后门的最后一次尝试已经过去了一个星期,今天我们又有了一个新的案例。这一次,后门是在一个Python模块中找到的,而不是一个npm (JavaScript)包。

该模块的名称是SSH Decorator (SSH Decorator, SSH -修饰),由以色列开发人员Uri Goren开发,该库用于处理来自Python代码的SSH连接。

周一,另一个开发人员注意到,SSH修饰模块的多个最新版本包含了收集用户SSH凭证的代码,并将数据发送到位于以下的远程服务器:

开发人员:后门是黑客的结果

在这个问题引起他的注意之后,Goren说,后门不是故意的,是黑客的结果。

他说:“我已经更新了PyPI密码,并将这个包裹重新贴在了一个新名字“ssh-decorator”上。“我还更新了存储库的readme,以确保我的用户也知道这个件。”README文件写道:

它已经引起了我们的注意,这个模块以前的版本被非法劫持并上传到PyPi。在使用此包之前,请务必查看此包的代码(或任何其他要求您的凭证的包)。

但在昨天这一事件成为Reddit的热门话题之后,一些人向他提出了一些指责,Goren决定将这个包裹从GitHub和PyPI (Python central repo hub)中删除。

如果您仍然在您的项目中使用SH Decorator (ssh-修饰)模块,那么最后一个安全版本是0.27。版本0.28到0.31被认为是恶意的。

注意:不仅后门插入了,而且您的SSH密钥在未加密的线路上飞行。所以任何嗅探你的网络或网络服务器的人都有你的东西。

-米奇(@Viking_Sec) 2018年5月8日。

以前也有过类似事件

这也不是图书馆第一次在中央代码库中被备份和上载。最后一件事发生在上周,当时npm团队发现了一种巧妙隐藏的后门,从而进入了一个流行的软件包。

在2017年8月,同样的npm团队也删除了38个JavaScript npm包,它们从被感染的项目中窃取环境变量。

PyPI - Python包索引也发生了类似的事情——Python编程语言的官方第三方软件存储库。在2017年9月,斯洛伐克国家安全办公室(NBU)发现并报告了在PyPI上的10个恶意Python包,并立即删除。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180515A1SN8I00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券